En büyük güvenlik tehditlerinden biri parola kırmadır. Kuruluşunuzun verilerinin güvenliği konusunda endişe duyan bir BT sistem yöneticisi misiniz?
Bu yazıda, şifre kırmaya genel bir bakış sunacağız, güçlü şifrelerin önemini tartışacağız ve bilgisayar korsanlarının kullandığı en iyi 5 şifre kırma tekniğini detaylandıracağız.
Ayrıca, parola kırma saldırılarının gerçek dünya örneklerini ve bunların etkilerini ve parola güvenliğini artırmaya yönelik önerileri de sağlayacağız.
İster deneyimli bir BT uzmanı olun ister yeni başlıyor olun, kuruluşunuzun verilerini daha iyi korumaya yardımcı olmak için bu parola kırma tekniklerini anlamanız gerekir.
Parola Kırmak İçin Neler Yapılır?
Birçok kullanıcı, filmlerde gösterilen şifre kırmanın hızlı ve etkileyici bir başarı olduğunu görmüş olabilir. Ancak bu 2022 Hive raporuna göre çok daha az gösterişli ve potansiyel olarak çok daha fazla zaman alıyor. Parola kırma, tipik olarak, çeşitli yöntemler kullanılarak bir parolanın kaba kuvvetle uygulanmasını içerir.
Parola kırma işlemini anlamak için öncelikle parolaların nasıl saklandığını anlamanız gerekir. Parolaları saklamanın başlıca iki yolu vardır: şifreleme ve karma oluşturma.
Şifreleme, düz metni, parola yöneticilerinin orijinal düz metin parolasını saklamasına ve görüntülemesine izin veren, tersine çevrilebilir şifreli metne dönüştürür.
Öte yandan, karma, çevrimiçi hizmetler için parolaları depolamak için kullanılan tipik yöntemdir.
Hizmet operatörlerinin parolaları tersine çevirmesi gerekmediğinden, yalnızca doğru olduklarını doğrulamak için parolalar hashlenir. Karma algoritmalar, düz metin değerlerini tek yönlü bir süreçte şifreli metne dönüştürür.
Saldırganın bir parolayı kırmaya çalışmadan önce, genellikle ortadaki adam saldırıları, saldırıya uğramış kimlik bilgisi veritabanları veya kimlik avı girişimleri yoluyla şifreli metin değerini alması gerekir.
Sonuç olarak, saldırgan, genellikle bir hash değeri olarak şifreli metin değeri elde edildikten sonra işine başlayabilir.
Ticaretin Şifre Kırma Teknikleri ve Araçları
Bir saldırgan karmayı elde ettikten sonra, bir sonraki adım şifreyi kırmaktır. Parola kırma tekniklerinin çoğu, parolayı kaba kuvvetle zorlamayı içerir, ancak bu işlemi daha verimli ve kolay hale getirmenin yolları vardır.
kaba kuvvet
Bazen, bir parola bulmanın tek yolu olası tüm harf, sayı ve sembol kombinasyonlarını denemektir. Parola rastgele ise, işi kolaylaştıracak diğer birçok teknik çalışmayabilir.
Bu yaklaşım en az verimli olanıdır, ancak diğer her şey başarısız olduğunda tek seçenek olabilir.
Saldırgan, olası her varyasyonu denemek için bir bilgisayar veya bir bilgisayar kümesi kullanabilir. Parola ne kadar uzun olursa, kırma işlemi o kadar zor ve zaman alıcı hale gelir.
Zamanlara örnek olarak, küçük ve büyük harfli şifrelerin daha karmaşık şifrelere (örn. sayılar, büyük ve küçük harfler ve bir MD5 hash’indeki semboller) göre ne kadar sürede çözüldüğüne dair 2023 Hive raporundan elde edilen bazı yeni bulguları burada bulabilirsiniz. .
|
Karakterler |
Küçük ve Büyük Harfler |
Karmaşık Parolalar |
|
8 karakter |
22 dakika |
8 saat |
|
9 Karakter |
19 saat |
3 hafta |
|
10 Karakter |
1 ay |
5 yıl |
|
11 Karakter |
5 yıl |
500 yıl |
|
12 Karakter |
300 yıl |
34 bin yıl |
Gökkuşağı Tablosu
Karma algoritmalar herkes tarafından bilindiğinden, çalınan bir karma ile karşılaştırılabilecek çok sayıda önceden hesaplanmış parola karma listesi oluşturmak mümkündür. Her varyasyon için yeni bir hash oluşturmak yerine, çalınan hash’in eşleşip eşleşmediğini görmek için bir tabloya bakın.
Bunun gibi tabloları hızlı bir şekilde yönetmeyi ve depolamayı çok zorlaştırabilen birçok farklı karma yöntemi ve neredeyse sonsuz parola varyasyonu vardır. Bu teknikte de bir İngiliz anahtarı atabilen, parola tuzlama olarak bilinen başka bir teknik var. Sunucu bir sağlamanın önüne ve sonuna rastgele değerler eklerse (yalnızca sunucu tarafından bilinen değerler), bu durumda elde edilen karmalar artık bilinen değerlerle eşleşmeyecektir.
sözlük saldırısı
Saldırganlar, kaba kuvvet kullanarak bir parolayı kolaylaştırmak için yaygın kullanılan sözcük ve deyimler ile şirket adları, spor takımları vb. sözlükleri kullanabilir. Bu, olası parola seçenekleri listesini daraltır.
Geçmişte, kullanıcılara şifrelerini sık sık (örneğin her 90 günde bir) değiştirmeleri ve karmaşık şifreler kullanmaları önerildi.
Ancak bu, kullanıcıların aşağıdaki gibi parolalar seçmesine yol açtı: #yoda2023!, bu da bir şifre kırıcının işini kolaylaştırır. Temel kelime olan yoda bir sözlük saldırısıyla tahmin edildikten sonra, birkaç farklı sembol ve rakam denenerek şifre hızla kırılabilir.
Aşağıdaki resimde, güvenliği ihlal edilmiş parolalarda kullanılan en iyi 5 Star Wars temalı temel terimi görebilirsiniz.
Kaynak: Specops
Sözlük saldırısının daha gelişmiş bir biçimi, Markov zincir saldırısıdır. Bu, bir tabloda saklanan ve bir kaba kuvvet saldırısında karakter yerleştirme olasılığını hesaplamak için kullanılan bir sözcük listesinin istatistiksel bir analizini içerir.
kimlik doldurma
Kullanıcılar genellikle birden çok hizmette aynı kök parolayı kullanır. Bir hizmette bir parola kırılırsa, saldırgan aynı parolayı veya kullanıcının erişim sahibi olabileceği diğer hizmetlerdeki varyasyonları hızlı bir şekilde deneyebilir.
Kimlik bilgisi doldurma olarak bilinen saldırganlar, aynı hizmet üzerinde farklı parolalar denemek için birden çok hizmette kırılan parolayı deneyecektir. Bu, kullanıcının tüm hizmetlerinin tehlikeye girmesine neden olabilir.
Zayıf (Güvensiz) Parola Karmaları
Tabii ki, tüm parola karma şemaları eşit yaratılmamıştır. Teknoloji geliştikçe, bir zamanlar güvenli kabul edilen şey artık öyle olmayabilir. Bu, hızla kırılabilen MD5 veya SHA-1 gibi karma algoritmalar için geçerlidir.
Kullanıcı parola karmalarını bu algoritmalardan biriyle depolayan bir sistem, tüm veritabanını hızla kırabilir.
Modern sistemler, tuzlu parola karmaları kullanan bcrypt gibi daha güvenli algoritmalar önerir.
Şifre Kırma Araçları
Tekniklerin kendilerinin bilinmesi gerekli olsa da, birçok şifre kırıcı hazır bulunan araçlara güvenir.
Aşağıda üç standart araç listelenmiş olsa da, çok daha fazlası mevcuttur. Aşağıdakilerin tümü açık kaynaklıdır ve topluluk tarafından geliştirilmiştir, yani sürekli gelişmektedir.
- John the Ripper – Birçok uygulamada yüzlerce hash türünü destekler ve birden çok platformda kullanılabilir.
- Hashcat – Birçok karma türünü destekleyen yüksek hızlı bir komut satırı parola kırma aracı sağlamak için CPU ve GPU ile birlikte çalışır.
- Ophcrack – Windows ortamlarında kullanılan LM ve NTLM parolalarına odaklanan gökkuşağı tablolarına dayalı bir araç.
Bu araçlar, geri alınan karmaların kırılmasını çok daha kolay hale getirse de, çok sayıda özel araç, bireysel kuruluşlara göre uyarlanabilir. Sağlam ve güncel bir parola politikası, bir kuruluşu korumak için hayati önem taşır.
Kullanıcılar Kendilerini Nasıl Korumalı?
Parola kırmayla ilgili tüm konuşmalar arasında, bir kullanıcı kendini korumak için ne yapmalıdır? NIST gibi modern güvenlik kuruluşları, 800-63B yönergelerine rağmen artık aşağıdakileri önermektedir:
- Normal şifre değiştirme gereksinimlerini ortadan kaldırın. Parolaları yalnızca bir kullanıcı tarafından açıkça talep edildiğinde veya bir parola ihlal edildiğinde değiştirin.
- Parola karmaşıklığına yönelik isteğe bağlı gereksinimi azaltın ve minimum 12 karakter gibi toplam parola uzunluğuna odaklanın.
- Tüm yeni parolalar, yaygın olarak kullanılan veya daha önce güvenliği ihlal edilmiş parolalarla karşılaştırılmalıdır.
- Kimlik bilgisi doldurma gibi saldırılardan kaçınmak için farklı hizmetlerde parolaları yeniden kullanmayın.
- Artırılmış hash güvenliği, MD5 ve PBKDF2 gibi daha kısa parolaların bile kırılmasının çok daha uzun süreceği anlamına gelir.
Specops Şifre Politikası: Kuruluşları Güvende Tutma
Kırma araçları ve teknikleri giderek daha karmaşık ve daha hızlı hale gelmeye devam ediyor. Bir adım önde olmak için, Specops Password Policy gibi araçlar, en son önerileri kullandığınızdan ve uyumluluk gereksinimlerine uyduğunuzdan emin olmak için Active Directory ile el ele çalışır.
Özel sözlükler, benzersiz ve özelleştirilebilir parola ilkeleri ve İhlal Edilen Parola Koruması eklentisiyle güçlü kırık parola önleme gibi özelliklerle Specops Parola İlkesi, kuruluşunuzu güvende tutmak için uzun bir yol kat eder.
Kuruluşları Parola Kırılmaya Karşı Koruma
Şifre kırıcılar için mevcut olan birçok araç ve teknikle, şifre ihlallerinin düzenli olarak meydana gelmesine şaşmamak gerek.
Specops Password Policy gibi araçlarla güvenliğinizi artırın ve kuruluşunuzun ve kullanıcılarınızın çok sayıdaki tehdit aktörünün kurbanı olmamalarını sağlayın.
Güvenli bir şekilde tasarlanmış parola politikalarıyla kötü adamların bir adım önünde olun ve ihlal edilmiş parola tespiti ile önceden kırılmış parolaların kökünü kazıyın!
Sponsorlu ve Specops Software tarafından yazılmıştır